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NetScaler 認証 


認証 スキ ャ ン に 関心 を お 寄せ いた だ き あ り が と う ご ざ いま す 。 認証 を 設定 し て 使 ) 


し 、 最も 正確 な 結果 を 得る こと が で きま す 。 本 書 で は 、 NetScaler 認証 の 設定 に 


つい て 説明 し ます 。 


VM の NetScaler 認証 
認証 を 使用 する 理由 


] す る と 、 ホ スト を さら に 詳し く 評 価 


関す る ヒン ト と ベス ト プ ラ クティ ス に 


認証 を 使用 する と 、 提供 され た 資格 情報 で 対象 の 各 シ ステ ム に リモ ー ト か ら ロ グイ ン す る こと が で きま す 。 ログ イン 
する こと で 、 テ スト 中 に 更に 多く の こと が 行え る よう に な り ま す 。 その た め 、 各 シス テム の セキ ュ リ ティ 状態 に つい て 、 
より 適切 に 可視 化す る こと が で きま す 。 認証 は 、 脆弱 性 スキ ャ ン で 推奨 され ます 。 


脆弱 性 スキ ャ ン に 必要 な 特権 


提供 する アカ ウン ト に は 、 特定 の コマ ンド を 実行 で きる 権限 が 必要 で す 。 例え ば 1)“ uname “を 実行 し て パッ ケー 
ジ の プラ ッ ト フ ォ ー ム を 検出 する 、2) /etc/redhat-release を 読み 取り 、“ rpm "を 実行 する (対象 ホス ト で Red Hat 233€ 
行 さ れ て いる 場合 ) 、3) /etc/debian version を 読み 取り 、“ dpkg “を 実行 する (対象 ホス ト で Debian が 実行 され て い 


る ) な ど が あり ます 。 


この 他 に も 実行 する 必要 の ある コマ ンド は 数 多く あり ます 。 記事 「*NIX_Authenticated Scan Process and Commands 


(NIX 認証 済み の スキ ャ ン の 処理 と コマ ンド ) 」 (英語 ) に は 、 実行 する コマ ン 


ド の 種類 に 関し て 説明 し て いま す 。 x 


た 、 実 行 し た コマ ンド の 影響 と 範囲 に 関す る 考え 方 に つい て も 説明 し て いま す 。 この 記事 に ある リス ト の コマ ンド は 


Qualys の サー ビス アカ ウン ト の スキ ャ ン 中 に 実行 され る 可能 性 が あり ます 。 
け で は あり ませ ん 。 *nix ディ スト リ ビ ュ ーション に よっ て 異な り ま す 。 この リス 


は あり ませ ん 。 また 、 更新 も 上 顔 繁 に 行わ れ ま せん 。 


資格 情報 の 安全 性 に つい て 


FEIE 


すべ て の コマ ンド が 実行 され る わ 


は 、 実行 する コマ ンド を 網羅 し た も の で 


資格 情報 は 、 読 み 取 り (READ) 専用 と し て シス テム へ の アク セス に 使用 され ます 。 デバ イス 上 で 資格 情報 を 修正 し 


た り 、 何 か を 書き 込ん だ りす る と いう こと は 、 決し て あり ませ ん 。 資格 情報 は 
ン の 実行 中 に の み 使 用 され ます 。 


操作 手順 


Vulnerability Management を 使用 し て 次 の 手順 を 実行 し ます 。 1) Unix 


ン を 開始 し ます 。 3) 認証 レポ ー ト を 実行 し て 、 ス キャ ン 済 み の 各 ホス ト の 語 


dea M 


E を 確保 し た 状態 で 扱わ れ 、 ス キャ 


まず 、 対 象 の ホス ト 上 で NetScaler ユー ザ ア カ ウ ント と 権限 を 設定 し ます (下記 で 説明 ) 。 次 に 、 Qualys 


認証 レコ ー ド を 追加 し ます (NetScaler は 
Wed に Unix & [v d lE LA — ド fols し ます 。 新 し し NE. 証 を 使用 [US Unix 5 KO 訟 証 を 選択 し て く だ さい Nis 2) 脆弱 性 スキ ャ 


ま 細 レポ ー ト を 表示 し ます 。 脆弱 性 スキ ャ 


ン で は 、 オ プシ ョ ンプ D 証 を 有効 に し 、 ス キャ ン 時 に その プロ ファ イル を 選択 する 必要 が あり ます 。 
(また は 、 新 し い オ プシ ョ ンプ ロフ ァイル を 


[Scans | Option Profiles」 を 選択 し ます 。 オプ ショ ンプ ロフ ァイル を 編集 
作成 ) し て 、「Scan」 項 に 移動 し 、 使 用 する 認証 の 各 タ イプ を 選択 し ます 。 


複数 の レコ ー ド の 作成 


複数 の レコ ー ド の 作成 は 、 異な る IP アド レス を 使用 すれ ば 可能 で す 。 各 IP アド レス は 、1 つの Unix タイ プ の レ 


コー ド に 含め る こと が で きま す 。 


無断 複写 ・ 転 載 を 禁じ ます 。 2020 年 クキ リス ジャ パン 株 式 会 社 


PC の NetScaler 認証 


認証 を 使用 する 理由 


認証 を 使用 する と 、 提供 され た 資格 情報 で 対象 の 各 シ ステ ム に リモ ー ト か ら ロ グイ ン す る こと が で きま す 。 ログ イン 
する こと で 、 テ スト 中 に 更に 多く の こと が 行え る よう に な り ま す 。 その た め 、 各 シス テム の セキ ュ リ ティ 状態 に つい て 、 
より 適切 に 可視 化す る こと が で きま す 。 認証 は 、 コ ンプ ライ アン スス キャ ン で は 必須 で す 。 


コン プラ イア ンス スキ ャ ン に 必要 な 特権 

すべ て の コン プラ イア ンス チェ ッ ク を 評価 する に は 、 ス ー パ ー ユ ー ザ (レート) 権限 を 持っ た アカ ウン ト を 指定 する 必 
要 が あり ます 。 コン プラ イア ンス スキ ャ ン で は 、 最初 の SSH アク セス が ルー ト 権 限 を 持た な い ユ ー ザ に 付与 され て 
いる 場合 で も 、UID=0 の フル アク セス が 付与 され て いる こと を 確認 し ます 。 UID=0 の フル アク セス が な い 場 合 、 ス 
キャ ン は 続行 され ませ ん 。 アカ ウン ト は 、“ sh "シェ ル ま た は “bash "シェル で も 設定 され て いる 必要 が あり ます 。 


スキ ャ ン 対 象 の シス テム で リモ ー ト の ルー トロ グイ ン が 無効 に な っ て いる 場合 、 シ ステ ム で Sudo また は 
PowerBroker ルー ト 権 限 の 委譲 を 使用 する こと が で きま す 。 た だ し 、 sudoers ファ イル (また は これ と 同等 の 方 法 ) で 
指定 され た アカ ウン ト に 特定 の ルー トレ ベル の コマ ンド を 委譲 する こと に よっ て 、 制限 付き Unix/Linux アカ ウン ト を 
使用 する こと は で きま せん 。 ルー ト 以 外 の アカ ウン ト を 使用 uem SSH E E は で きま す が 、 そ 
の アカ ウン ト で "“ sudo su - "コマ ンド (また は これ と 同等 の コマ ンド ) を 実行 で きる 権限 が 必要 に な り ま す 。 権限 を 高 
め る こと で 、 ア カウ ント が コン プラ イア ンス スキ ャ ン の 続行 に 必要 な ルー トレ ベル (UID=0) の アク セス を 取得 する こと 
が で きま す 。 


資格 情報 の 安全 性 に つい て 


資格 情報 は 、 読み取り (READ) 専用 と し て シス テム へ の アク セス に 使用 され ます 。 デバ イス 上 で 資格 情報 を 修正 し 
た り 、 何 か を 書き 込ん だ りす る と いう こと は 、 決し て あり ませ ん 。 資格 情報 は 安全 性 を 確保 し た 状態 で 扱わ れ 、 ス キャ 
ン の 実行 中 に の み 使 用 され ます 。 


操作 手順 


まず 、 対象 の ホス ト 上 で NetScaler ユー ザ ア カ ウ ント と 権限 を 設定 し ます (下記 で 説明 )。 XIZ, Qualys Policy 
Compliance を 使 1] し て 次 の 手順 を 実行 し ます 。 1) Unix 認証 レコ ー "を 追加 し ます (NetScaler は 認証 お よび コン 
トロ ー ル の 評価 に Unix # IN AREL ド を 使 し ます 。 HORR E を 使 JLT, Unix # AN 認証 を 選択 し て くだ さい )。 2 2) コ 
ンプ ライ アン スス キャ ン を 開始 し ます 。 3) 認 認証 E レ ポー ト を 実行 し て 、 スキ ャ ン 済 み の 各 ホス ト の 認 証 ス テー タス を 表示 
LE. 


複数 の レコ ー ド の 作成 


複数 の レコ ー ド の 作成 は 、 異 な る TP アド レス を 使用 すれ ば 可能 で す 。 各 IP アド レス は 、1 つの Unix タ 
イプ の レコ ー ド に 含め る こと が で きま す 。 
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NetScaler の 設定 
スキ ャ ン を 正常 に 機能 させ る に は 、 ス キャ ン を 実行 する 前 に 、 次 の アカ ウン ト と 権限 が 存在 し て いる 必要 が あり ます 。 


1) NetScaler イン スタ ンス で の ユー ザ ア カ ウ ント の 作成 


NetScaler デバ イス の スキ ャ ン に 使用 され る scanuser と いう 名 前 の ユー ザ ア カ ウ ント を 作成 し ます 。 
a ユー ザ は 、 シ ステ ム の デバ イス の IP アド レス を 使用 し て デバ イス 上 に ロー カル に 作成 で き 、root キー ワー 
ド ( 例 : qualys root、hs root) を 使用 し て ユー ザ を 作成 し ます 。 


Citrix NetScaler VPX Bre 


Dashboard Configuration Reporting Documentation Downloads 


© System User 


System User 


User Name CLI Prompt ldle Session Timeout (secs) 
qualysroot 900 


Enable Logging Privilege Enable External Authentication Maximum Sessions 
ENABLED true 20 

Bindings 

No Partition 


1 System Command Policy 


No Group 


Done 


b. 設定 を 変更 する に は 、 次 の 画面 を 使用 し ます 。 


iri HA Status Partition .. 
Citrix NetScaler VPX Not configured iom nsroot 


Dashboard Configuration Reporting Documentation Downloads 


Welcome! 


Use this wizard for initial configuration of your NetScaler virtual appliance. To configure or to change a previously configured setting, click each of the sections below. If a parameter has already been configured, a check mark 
appears within a green circle. An orange circle containing a dash indicates that you have chosen to skip this section. 


NetScaler IP Address 

IP address at which you access the NetScaler for configuration, monitoring, and other management tasks. 
NetScaler IP Address Netmask 

10.115.98.95 255.255.255.0 


Subnet IP Address 

Specify an IP address for your NetScaler to communicate with the backend servers. 
Subnet IP Address 

192.168.20.2, 192.168.20.3, 192.168.20.4, 192.168.20.5 ... 


Host Name, DNS IP Address, and Time Zone 
Specify a host name to identify your NetScaler, an IP address for a DNS server to resolve domain names, and the time zone in which your NetScaler is located. 


Host Name DNS IP Address Time Zone 
Not configured Not configured CoordinatedUniversalTime 


Licenses 


Upload licenses from your local computer or allocate licenses from the Citrix licensing portal. 
You can also allocate pooled capacity from an on-premise license server. 


There are 0 license file(s) present on this NetScaler. 
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c. ユー ザ が 作成 され た ら 、 直接 また は グル ー プ を 介し て 、 ス キャ ン 中 に コン トロ ー ル の 評価 に 使用 され る Sé 
み 取 り 専用 "の ポリ シー を この ユー ザ に 割り 当て ます 。 


User Command Policy Binding / Configure Command Policy 


Configure Command Policy 


Policy Name 


QualysPolicy 


Action* 
ALLOW 


Command Spec* 


(^show\s+ 
((aaa | audit | authentication | dns |ipsec | ns |vpn | ntp | policy | router | snmp | system | tunnel | user)\s+\S 
+| Service)) |(^show\s+ 


RegEx Editor Command Spec Editor 


ES … 


コマ ンド の 指定 

(^man.*)| (^showNs+(?!system) (?!configstatus) (?!ns nsN.conf) (?!ns 
savedconfig) (?!ns runningConfig) (?!gslb runningConfig) (?!audit 
messages) (?!techsupport).*)|(^stat.*) 


2) NetScaler は 認証 お よび コン トロール の 評価 に Unix 認証 レコ ー ド を 使用 し ます 。 新しい 認証 を 使用 し て 、 
Unix 認証 を 選択 し て くだ さい 。 


| New Unix Record Tum help tips: On I Off Launch Help 


Record Title Authentication 


Provide login credentials to use for authenticated scanning. You have the option to get the login password from a vault available in your 
account. 


Private Keys / Certificates Ussmames 


Root Delegation Get password from vault 


Policy Compliance Ports (^ Skip Password 


Agentless Tracking Password: 


(^? Clear Text Password 
IPs 


Confirm Password*: 
Comments 


ome 
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3) コン プラ イア ンス コン トロ ー ル を 評価 する た め に デバ イス 上 で 実行 され る コマ ンド の リス ト を 以下 に 示し ます 。 
サポ ー ト され て いる バー ジョ ン は 10.x、11.x、 お よび 12.x で す 。 

show ns version 

show ns feature 

show ns mode 

show ssl parameter 

show vpn parameter 


show ntp server grep NTP 


show audit nslogParams 


show snmp alarm grep UNSET 
show ns mode grep -w SRADV 
show ns mode grep -w SRADV6 
show ns mode grep -w DRADV 
show ns mode grep -w DRADV6 
show ns mode grep -w IRADV 
show ns mode grep -w BridgeBPDUs 


show aaa ldapParams 
Show aaa tacacsParams 
Show aaa radiusParams 


show ns tcpbufParam 


show ntp sync 


show system user | grep User name 

show tcpParam 

show run | grep bind system user 

shell 'nsconmsg -d stats grep small window 
sed -E \s/ +/|:|/g\' 

shell 'nsconmsg -d stats grep small window 
sed -E \s/ +/|:|/g\' 

shell 'nsconmsg -d stats grep small window 
sed -E \s/ +/|:|/g\' 

shell 'nsconmsg -d stats grep small window 
sed -E \s/ +/|:|/g\' 

shell cat /etc/sshd config | grep 
AllowTcpForwarding 
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Unix 認証 レコ ー ド 


[Scans | ^l Authentication | に 移動 し ます 。 KIZ New ] ^l Operating Systems」 一 「Unix」 を 選択 し ます 。 Unix. の サ 
ブタ イプ が 必要 に な る 場合 が あり ます 。 [Network and Security」 に 、 Cisco 認証 や Checkpoint Firewall 認証 の レ 
コー ド が 表示 され ます 。 


‘= Scans ^ Scans Maps Schedules Appliances 


[E] | Search 
ctions (0) w | New v| 

f ste b 2 > 

[^] Network | 人 a 
Network and Security... b Windows 

[7] Agent Test Applications... pY TO_rT970-151-10.115.76.152 

[F] Global Default Databases... b 10.115.76.151-10.115.76.152 
VMware... b 

[7] Global Default gcp unix auth 
System Record Templates... b 

[7] Global Default azure unix auth 
Authentication Vaults 

[7] Global Default 10.115.68.145 
Download... 

[7] Agent Test Unix ] Custom Network 145 


スキ ャ ン 時 に サー ビス が S Unix ホス ト ヘ ログ イン する 際 に 使用 する Unix ログ イン 資格 情報 (ユー ザ 名 と パス ワー ド ) 
を 入力 し ます 。 ウィ ザー ド に 従い 、 秘密 鍵 、 ル ー ト 権限 委譲 、 ポ リ シ ー コ ンプ ライ アン ス 、 対象 の TP に 関す る それ ぞ 
れ の オプ ショ ン を ニー ズ に 合わ せ て 選択 し ます 。 サポ ー ト が 必要 な 場合 は 、 いつでも オン ライ ン ヘ ルプ が 利用 で き 


New Unix Record Turn help tips: On | Off Launch Help 


Record Title ^ A Authentication 


Login Credentials > Pe credentials to use for authenticated scanning. You have the option to getthe login password from a vault available in your 
accoun| 


Private Keys / Certificates > 


Username*: qualys joe 


Root Delegation > Get password from vault 


Policy Compliance Ports > E] Skip Password 


Password: 
Agentless Tracking € 


[7] Clear Tex Password 


Confirm Password*: 
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レポ ー ト 
VM レポ ー ト の 例 


Scan Results 
March 18, 2020 


Report Summary 


wenlin zhang 

quays wz2 

Qualys, Inc 

Manager 

1600 Bridge parkway 

redwood city 

California 

96045 

United States of America 

03/18/2020 at 14:18:55 (GMT-0700) 

03/18/2020 at 13:59:27 (GMT-0700) 

2 

2 

On demand 

Finished 

scan/1584565167.51025 

10.11.58.122 (Scanner 11.8.30-1, Vulnerability Signatures 2.4.845-2) 
Unix/Cisco/Checkpoint Firewall authentication was successful for 2 hosts 
00:12:06 

citrix netscaler 


10.11.41.108-10.11.41.109 


wenlin-select QID 
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PC レポ ー ト の 例 


netscaler-all 


February 10, 2020 


Report Summary 
E 02/10/2020 at 14:44:25 (GMT-0800) 
qualys 
1600 bridge parkway 
Redwood shores 
None 
94065 
Bangladesh 
Jin wu 
quays iw 
Manager 


NetScaler-all 
Unlocked 
PC_dwei 


10.115.98.95 
N/A 
No 


Total Control Instances: 68 
68 (100%) 


02/10/2020 at 14:38:00 (GMT-0800) 
Policy Last Evaluated: 02/10/2020 at 14:41:15 (GMT-0800) 


最終 更新 日 : 2020 年 6 月 19 日 
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